硬核观察 #1123 无人察觉:窃取密码的 Linux 木马已偷偷下载 3 年
无人察觉:窃取密码的 Linux 木马已偷偷下载 3 年
安全研究人员报告,一个下载网站间隔性地向 Linux 用户提供恶意软件,盗取密码和其他敏感信息长达三年多,直到最后销声匿迹。该网站提供了一个名为 “免费下载管理器“ 的 Linux 软件。从 2020 年开始,该网站有时会将用户重定向到另外一个恶意域名,提供该应用的恶意版本,它会在目标设备上安装后门。该后门会窃取包括系统信息、浏览历史、保存的密码、加密货币钱包文件以及云服务凭证等信息。这个恶意重定向于 2022 年结束,原因不明。
老王点评:与 Windows 相比,Linux 恶意软件很少被发现,这往往让人们更加掉以轻心,现在检查一下你的 Linux 桌面,或许为时不晚。
谷歌称它的搜索引擎是最好的
在周二开庭的谷歌反垄断诉讼案上,司法部和来自美国各州和地区的 52 位总检察长指控谷歌支付数十亿美元,以换取被设置为手机和网络浏览器的默认搜索引擎,从而非法维持其垄断地位。法官称,谷歌至少在 2010 年就已成为垄断企业,如今控制着超过 89% 的在线搜索市场。谷歌的律师表示,人们选择谷歌作为浏览器和智能手机的默认搜索引擎“是因为谷歌为他们带来了价值,而不是因为他们不得不使用谷歌”。并举例,微软在 Windows 上的默认搜索引擎是必应,但用户切换到谷歌是因为它是搜索市场上更好的产品。而且,谷歌的律师表示,Safari 和 Firefox 通过默认搜索引擎交易换取收入分成,帮助了它们的创新。
老王点评:谷歌是不是最好的,和它是不是非法维持垄断没有关系。让我们看看这起新时代的 IT 巨头垄断案将如何走向。
OpenSSL 1.1.1 已经走到了生命的尽头
OpenSSL 1.1.1 最初于 2018 年作为开源安全通信库的长期支持版本发布。当时,其背后的团队宣称,该版本将至少支持五年,也就是到今年。要想继续获得 OpenSSL 的支持,就必须升级到 OpenSSL 3.0 LTS 或最新的 3.1 版本。但迁移到更高版本的 OpenSSL 会带来风险和危险,一些依赖 OpenSSL 的服务可能会对更新反应迟钝,尤其是那些硬编码 OpenSSL 服务的物联网组件。实际上,企业宁可花钱让 OpenSSL 维护者和作者继续使用发霉的旧代码,比如,可以购买一份针对企业的价值 5 万美元的年度支持合同。
老王点评:作为一个安全基础组件,这么干净利索的停止服务支持,总是有些不负责任。